Andrew Danau และทีมนักวิจัยด้านความมั่นคงปลอดภัย Wallarm ได้ออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution บนเว็บไซต์ PHP ที่เปิดใช้ฟีเจอร์ PHP-FPM และรันบน NGINX Server เสี่ยงถูกแฮ็กเกอร์ลอบรันคำสั่งแปลกปลอมจากระยะไกลได้ เริ่มพบเห็นรายงานการโจมตีผ่านช่องโหว่นี้แล้ว
ช่องโหว่ดังกล่าวมีรหัส CVE-2019-11043 ถูกค้นพบขณะที่ Danau และทีมนักวิจัยกำลังแข่งขัน Capture the Flag เป็นช่องโหว่บนฟีเจอร์ PHP-FPM (FastCGI Process Manager) ที่ช่วยเพิ่มประสิทธิภาพในการประมวลผลสคริปต์ภาษา PHP ให้ดียิ่งขึ้น สาเหตุหลักของช่องโหว่นี้อยู่ที่ “env_path_info” ซึ่งก่อให้เกิดปัญหา Memory Corruption เมื่อรวมช่องโหว่นี้เข้าด้วยกันกับปัญหาอื่นๆ จะช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution บน Web Server ที่ใช้ NGINX ได้
ช่องโหว่นี้ส่งผลกระทบบนเว็บไซต์ PHP ที่รันบน NGINX Server และมีการเปิดใช้ฟีเจอร์ PHP-FPM เท่านั้น ถึงแม้ว่า PHP-FPM จะไม่ใช่โมดูลมาตรฐานที่ติดตั้งใช้งานบน NGINX แต่ก็มีผู้ให้บริการ Web Hosting หลายรายที่เปิดใช้ฟีเจอร์ดังกล่าวเพื่อเพิ่มประสิทธิภาพการใช้ PHP
การโจมตีผ่านช่องโหว่นี้นับว่าไม่ยากนัก และมี PoC Exploit Code ถูกเผยแพร่เป็นที่เรียบร้อยผ่านทาง GitHub และพบรายงานการโจมตีผ่านช่องโหว่ดังกล่าวให้เห็นบ้างแล้ว แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์เป็น PHP 7.3.11 หรือ 7.2.24 เพื่ออุดช่องโหว่โดยเร็ว
รายละเอียดเชิงเทคนิค: https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/
ที่มา: https://thehackernews.com/2019/10/nginx-php-fpm-hacking.html